「890万台のスマホやAndroid TVがマルウェアに感染中」、日本のトレンドマイクロが緊急発表

Androidを開発するGoogleは、純正スマートフォンのPixelシリーズおよびAndroidにおいてソフトウェアの悪用に厳格に立ち向かっていますが、Google Playではいまだにマルウェア入りのアプリが配信されており、サードパーティー製のAndroidスマートフォンにも脆弱なものが多いため、Android全体のイメージは悪くなっています。新たに、数百万台のAndroidスマートフォンやAndroid TVデバイスにマルウェアがプリインストールされていることが明らかになりました。

数百万台のAndroidスマートフォンにマルウェアがプリインストールされていると最初に報じたのは、セキュリティ企業のTrend Microです。事の発端となったのはシンガポールで開催されたセキュリティ関連カンファレンス・Black Hat。この中でセキュリティ企業のSophosが「『Guerrilla』と名づけられたマルウェアを含む15個の悪意のあるアプリがGoogle Playで配信されている」と発表しました。Trend Microのセキュリティ研究者がGuerrillaを追跡調査したところ、約50の異なるブランドからリリースされている最大890万台のスマートフォンに、このマルウェアがプリインストールされていることが明らかになったそうです。

GuerrillaはユーザーのWhatsAppセッションをハイジャックして不要なメッセージを送信したり、感染した端末からリバースプロキシを確立して影響を受けたデバイスのネットワークリソースを使用したり、正規のアプリに広告を挿入したりできる、12近くのプラグインを備えた大規模なプラットフォームになっているとのこと。

Trend Microはマルウェアがプリインストールされているスマートフォンブランドを特定できなかったとしていますが、Guerrillaに感染しているスマートフォンが最も多く存在するのはアメリカで、次いでメキシコ・インドネシア・タイ・ロシアが続いていると報じています。

Trend MicroはLemon Groupについて、「Lemon Groupがビッグデータ、マーケティング、広告会社向けに行うビジネスをいくつか確認できたものの、メインはビッグデータの利活用にあるようです」と言及しました。

TechCrunchによると、マルウェアがプリインストールされた状態で販売されているAndroid TVデバイスは、中国企業のAllWinnerとRockChipが販売する「H616を搭載したT95というモデル」で、「t95 h616」と検索すると該当デバイスが複数販売されていることがわかります。なお、AmazonでAllWinnerとRockChipが販売しているAndroid TVデバイスは、Amazon上では数千件の称賛レビューを集めており、レビューの平均は星4と非常に高評価だそうです。

これらのAndroid TVデバイスにマルウェアがプリインストールされているのを発見したのは、該当デバイスのひとつを偶然購入したというセキュリティ研究者のDaniel Milisic氏。Milisic氏はマルウェアがプリインストールされたAndroid TVデバイスの調査をGitHub上で進めています。

Milisic氏によると、Android TVデバイスにプリインストールされているマルウェアは、Guerrilla同様にコマンド＆コントロールサーバー経由で、マルウェア作成者が望むあらゆるアプリケーションを感染端末にリモートでインストールすることが可能だそうです。このマルウェアはクリックボットとして知られるもので、バックグラウンドで密かに広告をクリックすることで悪意のあるユーザーのために広告収入を生み出します。

なお、電子フロンティア財団のセキュリティ研究者であるBill Budington氏も問題のあるAndroid TVデバイスをAmazonで購入し、Milisic氏の調査結果を独自に確認しています。Milisic氏によると、AllWinner T95Max、RockChip X12 Plus、RockChip X88 Pro 10といったモデルにマルウェアがプリインストールされていたそうです。

https://i.gzn.jp/img/2023/05/22/millions-android-malware-preinstalled/s02_m.jpg

さらに、「ハイエンドのAndroidデバイスにマルウェアがプリインストールされているという報告はなく、iPhoneでもこの種の報告はありません」と述べました。